Malware gebruikt al jaren het Windows Register om zich bijvoorbeeld tijdens het opstarten van Windows te laden, maar onderzoekers hebben nu een malware-exemplaar ontdekt dat zich volledig in het Windows Register verbergt. Dit zou het lastiger moeten maken om te malware te vinden en te analyseren.
De Poweliks Trojan, zoals de malware wordt genoemd, kan aanvullende malware downloaden en installeren en systeeminformatie stelen. Eenmaal actief zal Poweliks eerst controleren of Windows PowerShell aanwezig is. Dit is een scripttaal waarmee systeembeheerders allerlei taken kunnen automatiseren. Het is standaard in Windows 7 aanwezig en kan ook op andere Windows-versies worden geïnstalleerd.
In het geval PowerShell niet aanwezig is wordt het gedownload en geïnstalleerd. PowerShell zal later worden gebruikt om een gecodeerd scriptbestand uit te voeren. Dit scriptbestand bevat de malware aanvullende malware kan downloaden en installeren. Vervolgens wordt er een sleutel in het Windows Register aangemaakt zodat de malware ook bij een volgende herstart van het systeem wordt geladen.
De sleutel krijgt echter een specifieke waarde mee waardoor gebruikers de inhoud van de registersleutel niet kunnen bekijken. Ook is het niet mogelijk om de sleutel te verwijderen, aangezien dit vanwege de opgegeven waarde een foutmelding veroorzaakt. Verder wordt er een registersleutel aangemaakt die de code van de malware bevat. Deze code is in werkelijkheid een DLL-bestand dat in een draaiend Windowsproces wordt geïnjecteerd en het mogelijk maakt om andere malware te downloaden.
"Hoewel het gebruik van het Windows Register niet nieuw is, kan het erop duiden dat cybercriminelen en aanvallers continu hun malware-arsenaal verbeteren om onzichtbaar te blijven", zegt Roddell Santos van anti-virusbedrijf Trend Micro. Hij merkt op dat het Windows Register helpt bij het onopgemerkt blijven, aangezien virusscanners die alleen bestanden scannen niets op de computer zullen aantreffen. Poweliks wordt geïnstalleerd door malware die al op computers aanwezig is en verspreidt zich via kwaadaardige websites.
security.nl